06 noviembre 2013

Primeras impresiones acerca del TOP 100 contraseñas tras hack a Adobe

El escándalo del hack a Adobe y su consiguiente confirmación del robo de credenciales de usuarios comenzaba a verse una vez más como otro de los muchos puntos negros dentro de la seguridad de esta compañía (si bien el afectado siempre era su software y a su vez los usuarios, esta vez les tocaba a ellos en primera persona y las cuentas de sus usuarios). Además, existirían daños colaterales tras esta información, como el robo de código fuente de varios de sus productos, entre ellos, Coldfusion.

Al principio, los números de usuarios y credenciales comprometidos según la propia Adobe no ascendía a más de 3 millones (que no está nada mal huelga decir). Al poco tiempo, se especulaba con la posibilidad de que el número de clientes afectados estaba en torno a 38 millones cuentas activas...cual es nuestra ¿sorpresa? cuando actualmente, noviembre de 2013, se empieza a hablar de más de 150 millones de usuarios afectados (según el número de líneas del gran fichero de 3.8Gb que ya se comparte por diferentes redes anónimas como dump de credenciales de Adobe)

Pues bien, como ocurre siempre que se publica un dump de credenciales, existen diferentes acciones que se suelen llevar a cabo. Están los que aprovechan dichas credenciales para autenticarse de forma ajena en servicios (gracias al uso de la misma contraseña en varios servicios personales), o los que realizan estudios de las contraseñas para obtener conclusiones, comparativas y buenas/malas prácticas tras la elección de una palabra.

Jeremi Gosney de Stricture Group ha realizado un estudio del TOP 100 de las contraseñas utilizadas en Adobe por parte de sus usuarios, con resultados que obviamente, no sorprenden. Adjuntamos un extracto de la tabla, la cual podréis encontrar completa en este enlace en .txt:


Las ya tan habituales 123456, password, 123123, qwerty...en count tenéis el número de ocurrencias, casi 2 millones para el gran 123456.

Obviamente, Adobe ha pedido a sus usuarios que utilicen contraseñas más complejas pero...¿no sería también conveniente que el proceso de registro de usuarios de Adobe NO permite utilizar contraseñas de este tipo? Actualmente, el registro de Adobe no permite la creación de usuarios con contraseña de menos de 6 caracteres. 


Aquellas que nos encontramos en la tabla podrían tratarse de procesos de registro previos en los que no existía ninguna validación. Además, el analizador de estas passwords, advierte lo siguiente
However, thanks to Adobe choosing symmetric key encryption over hashing, selecting ECB mode, and using the same key for every password, combined with a large number of known plaintexts and the generosity of users who flat-out gave us their password in their password hint, this is not preventing us from presenting you with this list of the top 100 passwords selected by Adobe users.
Que viene a decir lo siguiente:
Sin embargo, gracias a que Adobe a elegido un cifrado por clave simétrica en vez de hashing, seleccionando el modo ECB, y utilizando la misma clave para cada contraseña, combinando con un gran numero de palabras en texto claro así como la generosidad de muchos usuarios que desinteresadamente nos han dados sus contraseñas, esto no quiere decir que no se pueda presentar esta lista con el top 100 de contraseñas seleccionadas por los usuarios de Adobe.
Yo sinceramente y bajo mi opinión, aún no habiendo realizado este proceso mediante un cracking clásico y buscando otros posibles métodos como los comentados por la gente de Stricture Group, me cuadra perfectamente que estas puedan ser las contraseñas más utilizadas por los usuarios, ahora expuestos, de Adobe.

Todavía no otorgamos nuestro certificado de "Hackeo Memorable" a todo lo que está ocurriendo, por lo menos hasta que se aclaren un poco los hechos o tengamos más detalles técnicos sobre lo ocurrido, pero tienen todas las papeletas...y cada día que pasa y más se conocen sus repercusiones, más todavía.

Referencias:

9 comments :

María García dijo...

La del router de Movistar está en el puesto número 14.

lagartyjo dijo...

Me encanta la idea de la segunda contraseña, en contraposición con la primera. Es el tipo de gente que no se sienten seguros con "123456", así que añaden "789" y listo. Ya pueden dormir tranquilos.

RTMSolution dijo...

Me quedo con Adobe123. Esos se creen que siguen las recomendaciones de "un sistema, una contraseña" y han elaborado un complejo sistema de generación de passwords.


Lusers, lusers everywhere.

Diego D dijo...

Asi me vengo a enterar que existen teclado AZERTY....

María García dijo...

Sí, se usa fundamentalmente en los países francófonos. ¡Es una tortura!

alejandro rivero dijo...

No entiendo lo de que pongan como contraseña el nombre de un ministro de educacion español. Eso deberia ser dificil de adivinar.

Aldo Raul dijo...

Ya no ponen simplemente 1234, han mejorado al respecto.

María García dijo...

El mío tenía 1234. Y WPA-PSK, en vez de WPA2-PSK. Lo tuve que cambiar yo porque el instalador decía que no tenía manera de cambiarlo. En fin...

María García dijo...

"según la portavoz de Adobe, "un alto porcentaje" de las cuentas eran ficticias, habiendo sido creadas para su uso en una única ocasión o para obtener software de manera gratuita."- https://www.ccn-cert.cni.es/index.php?option=com_content&task=view&id=3534&Itemid=197
¿Eso quizá explique que las contraseñas fueran tan malas?